Fysioterapeuterna har anmält sig självt till Integritetsskyddsmyndigheten, IMY, efter att av misstag ha läckt ut personuppgifter. Incidenten anses vara av ”betydande” grad då uppgifterna avslöjar facklig tillhörighet.
Det var i samband med Fysioterapeuternas kongress i november förra året som en lista över samtliga 85 kongressombud av misstag publicerades öppet på förbundets hemsida. Uppgifterna blev offentliga utan att ombuden hade tillfrågats, vilket bryter mot dataskyddsförordningen, GDPR. Listan låg ute i en månad innan den upptäcktes av en slump den 1 december.
– Vi la den genast bakom inloggning och tog ett samtal med vårt dataskyddsombud. Han ansåg att det var tillräckligt allvarligt för att vi skulle behöva göra en anmälan till Datainspektionen (sedan årsskiftet IMY, reds. anm.), säger Therese Barrington som är personuppgiftsansvarig på Fysioterapeuternas kansli.
Samtliga personer på listan blev kontaktade och informerades om vad som hänt. Ett fåtal hörde av sig och sa att det inte var någon fara, att misstaget inte orsakat dem någon skada. Incidenten anses dock vara allvarlig och har av förbundet självt klassats som ”betydande” eftersom uppgifterna röjer facklig tillhörighet.
– Hade vi varit en intresseorganisation vilken som helst så hade det här kanske varit mindre allvarligt, säger Therese Barrington. Men nu handlar det om fackligt medlemskap och det är uppgifter man helt enkelt inte får lämna ut.
Misstaget har tydliggjort hur lätt det är att göra fel i hanteringen av personuppgifter, säger Therese Barrington.
– Det visar hur viktigt det är att alla är införstådda med vikten av att tänka två steg längre när man gör saker. Det gäller både kansliet, sektioner och distrikt. Varenda gång du skickar ett mejl måste du tänka på vem du skickar det till, vilka som ser det och varför du gör det. Det är väldigt lätt att det blir fel om man inte har GDPR i huvudet hela tiden, och vem har det?
Fysioterapeuterna har jobbat aktivt med GDPR långt innan förordningen trädde i kraft i maj 2018, och var väl förberett när den började gälla.
– Vi har kommit jättelångt och har hela tiden legat i framkant med det här arbetet, säger Therese Barrington. Vi har mycket dokumentation och rutiner på plats. Men trots det måste vi hela tiden fortsätta jobba med att säkerställa att alla delar i förbundet hanterar medlemsdata på ett schysst sätt.
Har ni ändrat några rutiner?
– Nej, det har vi inte hunnit. Att publicera medlemslistor på vår hemsida satte vi P för direkt, så den rutinen är ju ändrad. Övrigt har vi inte haft en chans att hinna med än. Men på förekommen anledning är det en högst aktuell punkt som vi ska jobba vidare med.
Hur allvarlig IMY anser incidenten vara återstår att se. Kanske nöjer sig myndigheten med en tillsägelse, säger Therese Barrington.
– Eller så får vi betala böter. Det kan hända att de vill använda oss som ett exempel i den fackliga världen eftersom det ännu inte finns något prejudicerande fall. Böter tas direkt av medlemspengar så det är klart vi inte vill det. Det är därför vi ska göra rätt från början.
UPPDATERING: Den 13 januari meddelade IMY att ärendet är avslutat och att inga åtgärder kommer att vidtas.
Läs mer om GDPR på Integritetsskyddsmyndighetens hemsida.
Information om Fysioterapeuternas behandling av personuppgifter finns här.
Agneta Persson
agneta.persson@fysioterapeuterna.se